Уязвимость в runc и LXC, затрагивающая Docker и другие систе...,
opennews (??), 11-Фев-19, (0) [смотреть все]
- Давно пора понять, что выполнение чего-либо с правами root в контейнере аналогич,
Аноним (3), 00:16 , 12-Фев-19, (3) +1 //
- This attack is only possible with privileged containers since it requires rootpr,
Аноним (5), 00:34 , 12-Фев-19, (5) +4 //
- а по умолчанию контейнер какой ,
хотел спросить (?), 01:40 , 12-Фев-19, (8) –1 //
- Смотря кто запускает Если запускает рут или пользователь, который может писать,
виндотролль (ok), 03:03 , 12-Фев-19, (10) +1
- совершенно неважно, кто его запускает, лапочка Потому что на самом деле его запу,
нах (?), 09:52 , 12-Фев-19, (21) +4
- gt оверквотинг удален Т е VPS это полноценная изоляция насколько позволяет Sp,
хотел спросить (?), 11:58 , 12-Фев-19, (34) –3
- ну как бы побеги из этой изоляции через дырки в виртуальных или паравиртуальных ,
нах (?), 12:11 , 12-Фев-19, (35) +3
- да может кроме опенвзПереносимост По этой же причине не сдохнет и эектрон,
псевдонимус (?), 13:02 , 12-Фев-19, (39) –1
- Вы где видели официально стабильный Openvz на ядра выше 2 6 32 вот вот тру,
Аноним (48), 15:31 , 12-Фев-19, (48) +1
- смешно, но его пилили как раз для управления ресурсами в большей степени, чем дл,
нах (?), 17:56 , 12-Фев-19, (55) –1
- Потому-что быстрее, памяти жрёт меньше, управление контекстом и нагрузкой предск,
RNZ (ok), 09:40 , 13-Фев-19, (70) –3
- И как тогда podman без рута работает по-твоему ,
Owlet (?), 12:49 , 12-Фев-19, (38)
- 100 Т е докер не запускает pid1 контейнера в неймспейсе с маппингом uid 0 ,
виндотролль (ok), 21:16 , 12-Фев-19, (61) –1
- https docs docker com engine security userns-remap вот жеж Немного не так, ка,
виндотролль (ok), 21:29 , 12-Фев-19, (62)
- Читайте про user namespace я упомянул Безопасность при user namespace не лучше ,
Аноним (3), 07:50 , 12-Фев-19, (15) +1 //
- все таки лучше - в частности, вот от этой конкретной беды уберегло бы то что реа,
нах (?), 09:56 , 12-Фев-19, (22)
- При этом проблема не проявляется при корректном использованием пространств имён,
Аноним (23), 09:58 , 12-Фев-19, (23)
- Которые в докере, например, не заюзать нормально из-за кучи ограничений наприме,
Аноним (37), 12:48 , 12-Фев-19, (37) +2
- а как же volumes - прошлый век, тру девляпс использует ансибль, всегда модифици,
нах (?), 17:52 , 12-Фев-19, (54) –3
- Можно пример, когда это надо ,
виндотролль (ok), 21:31 , 12-Фев-19, (63)
- Красиво ,
erthink (ok), 00:25 , 12-Фев-19, (4) +1
- Ай молодца Сколько всего сразу повалилось Вот это понимаю unix-way Еще бы хром,
4eburashk (?), 00:42 , 12-Фев-19, (6) –1 //
- After some discussion with the systemd-nspawn folks, it appears thatthey aren t ,
Аноним (7), 01:12 , 12-Фев-19, (7) +11 //
- из системд к сожалению никто не хочет код копипастить к себе в инит ,
Аноним (9), 02:20 , 12-Фев-19, (9)
- Что у вас повалилось Какой вменяемый сидит под рутом,
Аноним (12), 03:39 , 12-Фев-19, (12) –4 //
- Вообще контейнеры - это адовый костыль Был таковым, есть, и будет есть ,
Онаним (?), 09:31 , 12-Фев-19, (17) +4
//
- На Убунте lxc запрягают через lxd, и, типа, пофик на эту дыру Не У меня runc в,
via (??), 09:45 , 12-Фев-19, (20) –1 //
- тебе - пофиг, никому твоя васян-локалхостовая поделка не нужнаА дыра в lxc точно,
нах (?), 10:04 , 12-Фев-19, (25) –1 //
- дыра то в runc ,
via (??), 11:18 , 12-Фев-19, (26) //
- Но ведь они абсолютно правы Контейнеры - это способ разделения ресурсов а не сп,
Аноним (28), 11:28 , 12-Фев-19, (27) //
- s for security, да Правда, как раз lxc-то принципиально позиционировалась как li,
нах (?), 11:48 , 12-Фев-19, (30)
- И почему тогда бсдами уже никто не пользуется, если они настолько лучше и продум,
Аноним (-), 13:58 , 12-Фев-19, (42)
- Ровно по той же причине, по которой линукса нет на десктопах ,
Клыкастый (ok), 14:07 , 12-Фев-19, (44) –2
- дык вон там выше изложение, для чего на самом деле нужны нынче контейнеры Этого ,
нах (?), 15:29 , 12-Фев-19, (47) +1
- Вот ты срёшь на убунточку, а сам кагбе мимоходом умолчал что сам пользуешь Дава,
Gannet (ok), 04:14 , 13-Фев-19, (67)
- как прибили, так и держится В смысле - чего клиент требует, из того куличик и,
нах (?), 11:16 , 13-Фев-19, (73)
- Я фряху испозую на роутере-файопомойке Нагад на неё Токо без аргументов вроде ,
псевдонимус (?), 14:20 , 13-Фев-19, (78)
- Вообще-то контейнеры никогда не позиционировались как ВМы Только админам локалхо,
SysA (?), 17:17 , 12-Фев-19, (51) –3
- Угу, а системда никогда не позиционировалась как быстрый инит , помним-помним h,
анонн (?), 17:41 , 12-Фев-19, (52) +3
- Для тех, кто в танке Здесь имеется ввиду ФУНКЦИОНАЛЬНОСТЬ, а не защита ,
SysA (?), 13:52 , 13-Фев-19, (77)
- У тебя пальцы перебиты что-ли ,
Gannet (ok), 04:16 , 13-Фев-19, (68) –1
- 60 Именно так и позиционироваис И старые п-уны да админы окахостов пытаис дон,
Аноним84701 (ok), 22:35 , 12-Фев-19, (64) +2 //
- Я вообще с контейнерами познакомился, когда надо было чью-то кривую поделку на n,
Аноним (36), 12:38 , 12-Фев-19, (36) –1 //
3,4,6,17,20,36
|
Вариант для распечатки
